在前後端開發時為什麼需要使用者認證呢?原因是由於HTTP協定是不儲存狀態的,這意味著當我們透過賬號密碼驗證一個使用者時,當下一個request請求時他就把剛剛的資料忘記了。於是我們的程式就不知道誰是誰了。 所以為了保證系統的安全,就需要驗證使用者是否處於登陸狀態。
一、JWT的組成
JWT由Header、Payload、Signature三部分組成,分別用.
分隔。
下面就是一個jwt真實的樣子,說白了就是一個字串,但是裡面卻儲存了很重要的資訊。
eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJyYXljaGVuIiwiaWQiOjIsIm5hbWUiOiJyYXkiLCJwYXNzd29yZCI6IjMyMSIsImlhdCI6MTU5MDI5OTU0OCwiZXhwIjoxNTkwMzg1OTQ4fQ.ORJNldDIfffg7D3_xu0_dBWb16y4fPLtw_r6qgScFpQ
Header:
第一部分是請求頭由兩部分組成,
alg
與typ
,第一個指定的是演算法,第二指定的是型別。
Payload
第二部分是主體資訊組成,用來儲存
JWT
基本資訊,或者是我們的資訊。
Signature
第三部分主要是給第一部分跟第二部進行簽名使用的,用來驗證是否是我們伺服器發起的
Token
,secret是我們的金鑰。
二、在springboot專案中使用jwt做驗證
具體流程:
- 把使用者的使用者名稱和密碼發到後端
- 後端進行校驗,校驗成功會生成token, 把token傳送給客戶端
- 客戶端自己儲存token, 再次請求就要在Http協議的請求頭中帶著token去訪問服務端,和在服務端儲存的token資訊進行比對校驗。
1.先引入jar包
<dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency>
2.使用工具類生成token和驗證token(生成token方法中存入了使用者的資訊)
public class JwtUtils { //發行者 public static final String SUBJECT="raychen"; //過期時間 一天 public static final long EXPIRE=1000*60*60*24; //金鑰 public static final String APPSECRET="raychen11"; /** * 生成jwt * @param user * @return */ public static String geneJsonWebToken(User user){ if(user==null || user.getId()==null || user.getName()==null || user.getPassword()==null){ return null; } String token=Jwts.builder().setSubject(SUBJECT) .claim("id",user.getId()) .claim("name",user.getName()) .claim("password",user.getPassword()) .setIssuedAt(new Date()) .setExpiration(new Date(System.currentTimeMillis()+EXPIRE)) .signWith(SignatureAlgorithm.HS256,APPSECRET).compact(); return token; } /** * 校驗token * @param token * @return */ public static Claims checkJWT(String token){ //仿造的token或者已過期就會報錯 try { final Claims claims=Jwts.parser().setSigningKey(APPSECRET).parseClaimsJws(token).getBody(); return claims; }catch (Exception e){ System.out.println("catch..."); } return null; } }
3.自定義註解(進行token驗證)
@Target({ElementType.METHOD, ElementType.TYPE}) @Retention(RetentionPolicy.RUNTIME) public @interface CheckToken { boolean required() default true; }
4.編寫config,將後臺所有請求先去攔截器(攔截器返回了true,使用者才可以請求到介面)
@Configuration public class InterceptorConfig implements WebMvcConfigurer { @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(authenticationInterceptor()) .addPathPatterns("/**"); // 攔截所有請求,通過判斷是否有 @LoginRequired 註解 決定是否需要登入 } @Bean public AuthenticationInterceptor authenticationInterceptor() { return new AuthenticationInterceptor(); } }
5.定義攔截器(對需要token驗證的請求,進行驗證,驗證成功返回true,失敗返回false無法請求到介面)
public class AuthenticationInterceptor implements HandlerInterceptor { public static final Gson gson=new Gson(); /** * 進入controller之前進行攔截 * @param request * @param response * @param object * @return */ @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object object) throws Exception { // 如果不是對映到方法直接通過 if (!(object instanceof HandlerMethod)) { return true; } HandlerMethod handlerMethod = (HandlerMethod) object; Method method = handlerMethod.getMethod(); //檢查是否有LoginToken註釋,有則跳過認證 if (method.isAnnotationPresent(LoginToken.class)) { LoginToken loginToken = method.getAnnotation(LoginToken.class); if (loginToken.required()) { return true; } } //前面是不需要token驗證的 從 http 請求頭中取出 token String token = request.getHeader("token"); //檢查有沒有需要使用者許可權的註解 if (method.isAnnotationPresent(CheckToken.class)) { CheckToken checkToken = method.getAnnotation(CheckToken.class); if (checkToken.required()) { if(token!=null){ Claims claims= JwtUtils.checkJWT(token); if(null==claims){ sendJsonMessage(response, JsonData.buildError("token有誤")); return false; } Integer userId= (Integer) claims.get("id"); String name = (String) claims.get("name"); request.setAttribute("userId",userId); request.setAttribute("name",name); return true; } //token為null的話 返回一段json給前端 sendJsonMessage(response, JsonData.buildError("請登入")); return false; } } //沒有使用註解的方法 直接返回true return true; } /** * 響應資料給前端 * @param response * @param obj * @throws IOException */ public static void sendJsonMessage (HttpServletResponse response, Object obj) throws IOException { response.setContentType("application/json; charset=utf-8"); PrintWriter writer = response.getWriter(); writer.print(gson.toJson(obj)); writer.close(); response.flushBuffer(); } }
使用者登入成功後,使用工具類生成token。token在服務端不做儲存,直接將token返回給客戶端,客戶端下次請求服務端時,使用工具類來驗證header裡的token是否合法。